Matanbuchusマルウェア

Matanbuchus Malwareは、地下のハッカーフォーラムやマーケットプレイスでサービスとしてのマルウェアスキーム（MaaS）で提供されている脅威的なローダーです。 Matanbuchusの作成者は、BelialDemonという名前で活動している脅威アクターです。売り込みによると、見込み客は脅威にアクセスするために2500ドルの初期レンタル価格を支払う必要があります。ローダーと呼ばれるマルウェアサブセットは、通常、攻撃チェーンの初期段階でドロップされる脅威であり、侵害されたシステムで次の段階のペイロードをフェッチして実行する役割を果たします。一般に、Matanbuchusは、メモリ内の.exeファイルと.dllファイルの起動、PowerShellコマンドの実行、schtasks.exeを使用したタスクスケジュールの改ざん、スタンドアロンの実行可能ファイルを強制する機能など、その主な悪意のある機能でその役割に固執しています。特定のDLLをロードします。

初期攻撃ベクトル

Matanbuchusを発見したPaloAlto Networksのユニット42の情報セキュリティ研究者も、ハッカーが脅威を提供するために使用する手段を特定することができました。攻撃の最初のベクトルは、破損したマクロを含むルアーMicrosoftExcelドキュメントです。攻撃者は、通常の武器化されたMicrosoft Word文書を残し、Excelファイルに切り替える傾向が続いています。説明は非常に簡単です。Excelの組み込みの特性により、攻撃者は破損したコードをドキュメントのスプレッドシートセル全体に配布できるため、ある程度の難読化が実現し、分析と検出がはるかに困難になります。ユーザーがExcelファイルを実行してそのマクロを有効にすると、ファイルを使用した不正なコーディングにより、特定の場所（idea-secure-login [。] com）から「ddg.dll」という名前のDLLファイルがフェッチされます。その後、ファイルは被害者のシステムに「hcRlCTg.dll」として保存されます。実際、これはMatanbuchusマルウェアのDLLファイルです。

Matanbuchusマルウェアの構造

ローダーの脅威は、MatanbuchusDroper.dllとMatanbuchus.dllの2つのDLLファイルで構成されています。その名前が示すように、最初のファイルの主な機能は、メインのマルウェアファイルを配信することです。ただし、さらに、GetCursorPos、IsProcessorFeaturePresent、cpuid、GetSystemTimeAsFileTime、およびQueryPerformanceCounterを介して、サンドボックスまたはデバッグツールのネイティブ環境もチェックします。次のステップは、「AveBelial.xml」という名前のXMLファイルを装ってプライマリMatanbuchusDLLをダウンロードすることです。この脅威は、新しくドロップされたDLLファイルを実行するためのスケジュールされたタスクを生成することにより、永続性メカニズムをアクティブにします。

Matanbuchusは、一般的なシステムファイル名の近似値を使用して、ネイティブシステム内でファイルをブレンドしようとします。たとえば、正当なshell32またはshell64の代わりに、脅威はその主要コンポーネントにshell96という名前を付けます。 Matanbuchus.dllは他のDLLファイルと似ていますが、ハッカーは文字列と実行可能コードをマスクするための追加の難読化とエンコード技術を装備することに多くの時間を費やしていることに注意してください。

脅威はすでに世界中の攻撃キャンペーンで活用されているため、ユーザーと組織は脅威に注意を払う必要があります。これまでのところ、Matanbuchus Malwareは、米国の大規模な大学や高校、ベルギーのハイテク組織など、さまざまな組織に対して配備されています。